Proces wdrożenia RODO w organizacji

18/01/18

Jedną z najistotniejszych różnic między RODO a obecnymi regulacjami jest przyjęcie przez unijnego ustawodawcę zasady risk-based approach, a więc podejścia opartego na ryzyku

Przepisy RODO mają na celu zapewnić dynamiczny charakter środków zabezpieczenia stosowanych przez administratorów, służących ochronie danych osobowych. W odróżnieniu od aktualnej koncepcji leżącej u podstaw dyrektywy 95/46/WE oraz krajowych rozwiązań implementacyjnych, nowe rozporządzenie nie określa minimalnych wymagań wobec administratora danych, by można było uznać, że jego działalność pozostaje zgodna z przepisami ochrony danych.

Tak zwanego wdrożenia RODO nie można sprowadzić tylko i wyłącznie do dostosowania istniejących zgód, klauzul informacyjnych i szablonów umów do zmienionych przepisów. Nie można ograniczyć się do przygotowania odpowiedniej dokumentacji technicznej lub przygotowania procedur, podobnych do tych, które są wymagane przepisami rozporządzenia MSWiA z 29.o4.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Wdrożenia RODO nie można sprowadzić tylko i wyłącznie do dostosowania istniejących zgód, klauzul informacyjnych i szablonów umów do zmienionych przepisów. Nie można też ograniczyć się do przygotowania odpowiedniej dokumentacji technicznej lub przygotowania procedur

Przepisy RODO nakładają obowiązek stosowania środków adekwatnych do stwierdzonych zagrożeń i ryzyk

Przepisy RODO nakładają na administratorów obowiązek stosowania środków adekwatnych do stwierdzonych zagrożeń i ryzyk, a nie rozwiązań ustandaryzowanych, wskazanych w przepisach prawnych bez odniesienia do konkretnych procesów przetwarzania danych, kategorii danych czy też celów przetwarzania.

Zarówno w motywie 74 preambuły, jak i art. 24 RODO podkreśla się, że administrator powinien być w stanie wykazać, że czynności przetwarzania są zgodne z RODO oraz że środki wdrożone w celu ochrony danych są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych.

Powyższa zmiana koncepcji podejścia do problematyki ochrony danych osobowych jest jednym z największych wyzwań stojących przed organizacjami przygotowującymi się do uzyskania zgodności z przepisami RODO.

W przypadku audytu prowadzonego przez regulatora lub wycieku danych, to administrator będzie musiał przedstawić jak oceniał swoje ryzyka, dlaczego doszedł do takich wniosków i jak je przełożył na odpowiednie zabezpieczenia organizacyjne oraz techniczne.